Ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss muss grundsätzlich die Datenschutz-Grundverordnung (DSGVO) einhalten. Gibt es in diesem Mitgliedstaat nur eine Aufsichtsbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch den Untersuchungsausschuss zuständig. Übt der Untersuchungsausschuss jedoch eine Tätigkeit aus, die als solche der Wahrung der nationalen Sicherheit dient, unterliegt er nicht der DSGVO und folglich auch nicht der Kontrolle durch die Aufsichtsbehörde.
Zum Hintergrund: Der Nationalrat setzte bekanntlich den BVT-Untersuchungsausschuss ein, um eine mögliche politische Einflussnahme auf das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) aufzuklären. Dieser Untersuchungsausschuss befragte medienöffentlich eine Auskunftsperson. Das Protokoll dieser Befragung wurde auf der Webseite des österreichischen Parlaments veröffentlicht. Es enthielt den vollständigen Namen der Auskunftsperson, obwohl diese die Anonymisierung beantragt hatte.
Da die Nennung ihres Namens aus der Sicht der Auskunftsperson gegen die DSGVO verstoße, brachte sie bei der österreichischen Datenschutzbehörde eine Beschwerde ein und wies darauf hin, als verdeckter Ermittler bei der polizeilichen Einsatzgruppe für die Bekämpfung der Straßenkriminalität tätig zu sein.
Die Datenschutzbehörde wies die Beschwerde mit der Begründung zurück, dass sie aufgrund des Gewaltenteilungsgrundsatzes als Teil der Exekutive nicht kontrollieren könne, ob der Untersuchungsausschuss, der der Legislative zuzurechnen sei, die DSGVO einhalte.
Das BVwG gab der dagegen erhobenen Beschwerde statt und hob den Bescheid der Datenschutzbehörde auf. Begründend führte es im Wesentlichen aus, dass die DSGVO für Akte der Gesetzgebung maßgeblich und damit auf die Tätigkeit des BVT‑Untersuchungsausschusses anwendbar sei. Der materielle Anwendungsbereich der DSGVO gemäß deren Art. 2 Abs. 1 sei nämlich umfassend konzipiert und beziehe sich auf alle Datenverarbeitungen, unabhängig davon, welches Organ die Verarbeitung vornehme und welcher Staatsfunktion das verarbeitende Organ zugeordnet sei. Im Übrigen könne Art. 2 Abs. 2 DSGVO auch keine Ausnahme bestimmter Staatsfunktionen, etwa der Gesetzgebung, von der Anwendbarkeit dieser Verordnung entnommen werden, da die in Buchst. a dieser Bestimmung vorgesehene Ausnahme restriktiv auszulegen sei. Folglich sei die Datenschutzbehörde gemäß Art. 77 DSGVO für die Entscheidung über die Beschwerde zuständig. Dagegen wendete sich die Datenschutzbehörde an den VwGH und dieser an den EuGH.
Der EuGH stellt fest, dass auch ein vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzter Untersuchungsausschuss grundsätzlich die DSGVO einzuhalten hat. Zwar ist die DSGVO nicht auf Verarbeitungen personenbezogener Daten anwendbar, die von Behörden im Rahmen einer Tätigkeit vorgenommen werden, die der Wahrung der nationalen Sicherheit dient. Vorbehaltlich einer Überprüfung durch den VwGH scheint die in Rede stehende Untersuchung jedoch nicht als solche der Wahrung der nationalen Sicherheit zu dienen. Der Untersuchungsausschuss sollte nämlich eine mögliche politische Einflussnahme auf eine der Exekutive zuzurechnende Behörde prüfen, die für Verfassungsschutz und Terrorismusbekämpfung zuständig war.
Allerdings können Beschränkungen der sich aus der DSGVO ergebenden Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen aufgrund der nationalen Sicherheit gerechtfertigt sein. Aus der Akte ergibt sich jedoch nicht, dass der in Rede stehende Untersuchungsausschuss dargetan hätte, dass die Offenlegung des Namens der Auskunftsperson für die Gewährleistung der nationalen Sicherheit erforderlich gewesen sei und auf einer Gesetzgebungsmaßnahme beruht habe. In diesem Zusammenhang muss der VwGH nun die erforderlichen Überprüfungen vornehmen.
Da Österreich entschieden hat, nur eine Aufsichtsbehörde im Sinne der DSGVO einzurichten, nämlich die Datenschutzbehörde, ist diese grundsätzlich auch für die Überwachung der Einhaltung der DSGVO durch einen Untersuchungsausschuss wie den in Rede stehenden zuständig, und zwar ungeachtet des Gewaltenteilungsgrundsatzes. Dies ergibt sich aus der unmittelbaren Wirkung der DSGVO und dem Anwendungsvorrang des Unionsrechts, einschließlich gegenüber nationalem Verfassungsrecht.
Hier geht’s zur Pressemitteilung des EuGH …
Hier geht’s zur Vorabentscheidung des EuGH vom 16.01.2023, C-33/22, ECLI:EU:C:2024:46 …